Comunicat cu privire la implementarea mecanismelor de autentificare strictă a clienților (SCA) pentru plățile online cu cardul
21.12.2020
În vederea asigurării unui grad sporit de securitate pentru operațiunile de plată electronice la distanță, la nivelul Uniunii Europene au fost emise o serie de acte normative care stabilesc obligația prestatorilor de servicii de plată de a aplica proceduri de autentificare strictă a clienților ori de câte ori aceștia își accesează online contul de plăți sau efectuează o operațiune de plată electronica. Autoritatea Bancară Europeană a stabilit ca termen limită pentru implementarea noilor soluții de autentificare strictă a clienților pentru tranzacțiile de comerț electronic data de 31 decembrie 2020. De asemenea, au fost stabilite principiile care stau la baza noilor cerințe de securitate cu privire la autentificarea strictă a clienților (SCA). Astfel, la accesarea online a contului de plăți sau efectuarea de operațiuni de plată electronică, banca plătitorului va utiliza pentru autentificarea strictă a acestuia cel puțin două elemente clasificate în două dintre următoarele categorii de factori de identificare:
- cunoaștere - ceva ce doar clientul cunoaște, cum ar fi codul PIN, o parolă;
- posesie - ceva ce doar clientul deține, spre exemplu posesia unui dispozitiv probată prin parolă transmisă prin SMS;
- inerență - ceva ce clientul este, cum ar fi amprenta, recunoașterea facială sau alte elemente de biometrie.
Banca Națională a României a monitorizat procesul de migrare către noile soluții de SCA la nivelul pieței naționale și, conform informațiilor furnizate de prestatorii de servicii de plată, a constatat că acestea se află într-un stadiu avansat, care va permite implementarea măsurilor de autentificare strictă a clienților până la termenul limită stabilit de Autoritatea Bancară Europeană.
Totodată, Banca Națională a României atrage atenția asupra posibilității de a apărea situații de respingere de către prestatorii de servicii de plată care furnizează servicii de plată pe teritoriul României a tranzacțiilor de comerț electronic transfrontalier, în cazul în care comercianții din alte state membre UE nu au implementat soluțiile de autentificare strictă a clienților.
Actele normative ale Uniunii Europene care stabilesc obligația prestatorului de servicii de plată sunt:
- Directiva (UE) 2015/2366 a Parlamentului European și a Consiliului din 25 noiembrie 2015 privind serviciile de plată în cadrul pieței interne, de modificare a Directivelor 2002/65/CE, 2009/110/CE și 2013/36/UE și a Regulamentului (UE) nr. 1093/2010, și de abrogare a Directivei 2007/64/CE transpusă la nivel național prin Legea nr. 209/2019 privind serviciile de plată și de modificarea unor acte normative,
- Regulamentul delegat (UE) 2018/389 al Comisiei din 27 noiembrie 2017 de completare a Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților și standardele deschise, comune și sigure de comunicare.